GDPR и отельный бизнес

1. Знакомьтесь — GDPR

Согласно Правил пользования отелями, номер в отеле предоставляется потребителю при предъявлении паспорта. Паспорт содержит такие персональные данные человека: имя и фамилию, дату и место рождения, адрес регистрации, данные о семейном положении, серию и номер документа. Нередко администрация отеля делает копию паспорта постояльца и потом хранит ее у себя.

По украинскому законодательству отель должен хранить персональные данные своих посетителей и не передавать их третьим лицам. Если же услугами отеля пользуется резидент Европейского союза, то на отель будет действовать европейское законодательство по защите персональных данных.

Отельная индустрия считается одной из наиболее уязвимых к угрозам для данных, потому что каждая гостиница ежедневно обрабатывает большой объем личной информации своих гостей.

Такая личная информация может приходить из различных источников: при регистрации на стойке, из сайта отеля, от турагентов, систем бронирования сторонних поставщиков, при общении с клиентом по телефону, факсу или e-mail. Зачастую системы, которые собирают данные, не синхронизированы друг с другом, а личная информация храниться на разных платформах.

General Data Protection Regulation (GDPR) переводится как Общий Регламент по защите персональных данных (далее - Регламент), он вступил в действие 25 мая 2018 года.

Вкратце, это новый закон, разработанный для того чтобы усилить и унифицировать защиту персональных данных европейцев. Это означает, что компании должны более ответственно относится к персональным данным, за нарушение Регламента предусмотрены большие штрафы. Распространяется GDPR отели в Украине, которые принимают европейских гостей.

Гостиницы, в понимании Регламента, будут считаться «контроллерами данных» — это в рамках GDPR означает, что они сами определяют цели и средства обработки персональных данных. Также в законе предусмотрена другая роль — «процессоры данных», которые отвечают за обработку персональных данных от имени «контроллера», зачастую это поставщики гостиниц.

Персональные данные согласно GDPR — это любые данные об идентифицируемом лице. Человек может быть идентифицирован по имени, номеру телефона, адресу электронной почты, номеру бронирования, IP-адресу, идентификатору мобильного или любой информации, которая однозначно выделяет человека из общей массы. Ксерокопия паспорта гостя, как было указано выше, содержит целый набор таких данных.

GDPR предоставляет дополнительную защиту для так называемых «чувствительных данных»: членство в профсоюзах и других организациях, которое может быть выявлено при участии гостя в мероприятиях; биометрические данные, например, когда отпечаток пальца используется для открытия дверей; состояние здоровья, которое может быть раскрыто в гостевых запросах;

сексуальная жизнь или сексуальная ориентация, которые также могут быть раскрыты в некоторых гостевых запросах.

Чувствительные данные могут обрабатываться только с явного согласия человека. Если такие данные собираются случайно, их следует немедленно удалить, чтобы не брать на себя дополнительные обязательства.

Нарушение GDPR может повлечь штраф в размере до 20 млн. евро или 4% от годового оборота компании, в зависимости от того что больше.

(Официальный перевод GDPR на украинский язык https://www.kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf .)

2. Должны ли гостиницы за пределами Европы соответствовать GDPR?

Процесс бронирования, который происходит между человеком в ЕС и гостиницей за пределами ЕС, считается включенным в GDPR. Данные, собранные в ЕС в ходе этого процесса — это деятельность, происходящая в ЕС. Таким образом, процесс онлайн-бронирования подпадает под GDPR и эти данные должны быть защищены соответствующими гарантиями, описанными ниже.

Точка зрения Booking.com.

На сайте Booking.com опубликованы Руководящие принципы, которые описывают взаимодействие сервиса с отелями https://info.suite.booking.com/gdpr-updates-en. Как сказано в Руководящих принципах Booking выступает «контроллером данных», а отель становиться «контроллером» после получения персональных данных от Booking напрямую или через посредников.

Персональные данные гостей, полученные от Booking, отель может использовать исключительно для цели бронирования номеров, на любое другое использование личных данных гостя следует получать его отдельное согласие.

Отель обязан принимать разумные меры для защиты персональных данных от потери, несанкционированного доступа, использования, удаления и раскрытия и самостоятельно нести ответственность за обработку и безопасность личных данных, которые отель хранит.

3. Как соответствовать требованиям GDPR отелю?

Обновите свою политику конфиденциальности

Политика конфиденциальности (Privacy Policy) является важным документом, который в первую очередь, закрепляет законную основу для обработки персональной информации данных.

Согласно статье 12 GDPR отель обязан предоставлять в краткой, понятной и легкодоступной форме информацию:

основание для обработки;

категории данных;

период хранения;

цели сбора и обработки;

контакты ответственного лица и пр.

Обновленную версия политики конфиденциальности необходимо опубликовать на веб-сайте.

Положение о безопасности персональных данных гостиницы

Контроллеры и процессоры обязаны осуществлять технические и организационные меры для возможности продемонстрировать, что обработка осуществляется в соответствии с GDPR (статьи 24, 25, 28, 32 GDPR).

Документ под названием «Положение о безопасности персональных данных гостиницы» содержит правила работы с персональными данными, порядок допуска, ответственность сотрудников, план реагирования на инциденты, порядок ответа на запросы и .т.д..

Как указано в ст. 83 GDPR при наложении административного штрафа контролирующий орган уделяет отдельное внимание мерам принятым в соответствии со статьями 25 и 32 GDPR.

Все сотрудники, которые имеют доступ к личной информации гостей, должны ознакомиться и в дальнейшем строго выполнять Положение. Основная идея, которую содержит Положение — это то, что данные принадлежат гостям, а не гостинице.

В рамках GDPR, отель должен быть готов к любым потенциальным нарушениям личных данных и иметь план реагирования на инциденты. В некоторых случаях существует 72-часовой срок для уведомления контролирующего органа о нарушении, поэтому план должен быть протестирован, чтобы гарантировать, что отель сможет выполнить этот срок.

Связи с поставщиками и партнерами

Гостиничный бизнес исключительно взаимосвязан как отрасль. Отели работают со многими поставщиками, такими как онлайн-турагентства (ОТА) и различные системы бронирования.

Вы должны иметь список этих третьих сторон и с какими данными они имеют дело. Нужно выяснить, как они планируют действовать для выполнения закона, чтобы у вас была полная картина ваших обязательств, ведь именно гостиница несет ответственность за то, чтобы третьи стороны, с которыми она работает, соответствовали требованиям GDPR.

Программное обеспечение, которое используют отели

Все правила, которым должны следовать отели, также относятся к используемому ими программному обеспечению. Если отель использует продукт для обработки своих данных, этот продукт должен соблюдать все те же обязательства GDPR, что есть и у отеля. Компания, которая предоставляет такое программное обеспечение, будет являться «процессором данных».

С каждым «процессором», который получает персональные данные гостей отеля, необходимо заключить соглашение по обработке данных (Data Processing Agreement), чтобы подтвердить, что поставщик соответствует правилам GDPR. Cоглашение по обработке данных устанавливает цели, для которых «процессор» обрабатывает данные и строго определенные рамки этой обработки.

Уведомление постоянных клиентов

Одним из основных принципов GDPR является то, что потребители будут гораздо более осведомлены о том, как их информация используется. Поэтому важно, чтобы вы сообщали о любых изменениях, которые вы ожидаете сделать в рамках GDPR.

Отельеру следует рассмотреть все способы, которыми он комуницирует с клиентами, и какой будет наиболее подходящий метод для объяснения предстоящих изменений по GDPR, например, в электронном письме с просьбой подтвердить свою подписку. Для этого настоятельно рекомендуется обеспечить строгий учет всех существующих клиентских баз.

Выводы:

Отели, которые часто принимают гостей из Европы, должны соответствовать GDPR. Если отель не будет отвечать нормам Регламента и произойдет утечка данных, то отель может быть подвержен штрафу и/или репутационным рискам. В то же время, отель, который соответствует GDPR будет надежным партнером для своих клиентов и будет иметь преимущество перед конкурентами.

Автор консультации: Юридическая компания "BRONA"

* Photo: Tim Mossholder. Unsplash